Hackear el servidor de Equation Group podría tener serias consecuencias para las operaciones de la NSA y la política exterior de EE. UU.
Demostración del poder de un oponente desconocido.
Dirígete al edificio de la NSA. Foto de Gary Cameron / ReutersEl 13 de agosto de 2016, personas no identificadas publicaron el código fuente y las hazañas de The Equation Group abiertamente y prometieron publicar otra información recibida del servidor pirateado. La importancia de este evento es difícil de sobreestimar.Para empezar, The Equation Group está afiliado a la NSA y presumiblemente participó en ciberataques técnicamente sofisticados, como infectar computadoras que operan centrifugadoras de enriquecimiento de uranio en Irán. En 2010, el malware Stuxnet, que explotó las vulnerabilidades de 0 días en Windows, deshabilitó de 1,000 a 5,000 centrifugadoras de Siemens debido a un cambio en su velocidad de rotación. Como resultado, los Juegos Olímpicos estadounidense-israelíesfrenó seriamente el programa nuclear de Irán y supuestamente evitó los ataques aéreos israelíes contra las instalaciones nucleares de Irán .El malware utilizado, más tarde llamado Stuxnet , fue detectado en junio de 2010 por expertos antivirus de Bielorrusia que no tenían idea de qué era. El hecho es que, por error de los programadores estadounidenses o israelíes, el virus continuó propagándose fuera del área afectada y comenzó a desactivar las instalaciones industriales de Siemens en otros países. Nadie fue considerado responsable de esto.Además de Stuxnet, The Equation Group se acredita con la autoría de varias otras sofisticadas armas cibernéticas ofensivas y spyware, que se utilizaron para el espionaje en agencias gubernamentales de países extranjeros y empresas comerciales. Estos son los conocidos en los círculos estrechos de especialistas Duqu y Flame herramientas. Al igual que Stuxnet, estas herramientas se analizaron cuidadosamente en la unidad de hackers del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab, quizás la mejor unidad de análisis de armas cibernéticas ofensivas extranjeras en el mundo. Los expertos rusos llegaron a la conclusión y encontraron evidencia de que estos programas tienen módulos, módulos y fragmentos de código comunes, es decir, uno o más equipos de autores cercanos entre sí participaron en el desarrollo.Las suposiciones de que Estados Unidos respaldan los ataques cibernéticos se han expresado repetidamente. Y ahora, el grupo de hackers Shadow Brokers amenaza con proporcionar evidencia directa de esto.
Personas desconocidas que se autodenominan grupo de hackers Shadow Brokers publicaron varias hazañas y organizaron una subasta extraña en la que las apuestas perdedoras no se devuelven a los participantes. Se prometió al ganador de la subasta que abriría toda la información robada de los servidores de The Equation Group.Todo esto habría parecido bastante sospechoso e inverosímil, de no ser por algunas circunstancias.En primer lugar, se publican exploits de la vida real: se mencionan en el catálogo de spyware de la NSA, que fue publicado por Edward Snowden en 2013. Pero estos archivos que Snowden nunca publicó, esta es información nueva.Como mostraron los primeros resultados de la prueba , los exploits publicados realmente funcionan.Edward Snowden mismo comentó sobre la filtración ayer con una docena de tweets. Dejó en claro que el pirateo de The Equation Group realmente tuvo lugar (es decir, cree en la veracidad de Shadow Brokers). Al mismo tiempo, Snowden publicó varios detalles sobre cómo funciona el spyware de la NSA, así como las armas cibernéticas que se están creando en otros países. Dijo que los ataques dirigidos apuntan a objetivos específicos y permanecen sin ser detectados durante varios años. La información se recopila a través de servidores C2, que en la práctica se denominan Counter Computer Network Exploitation o CCNE, o mediante proxy ORB (proxy hops). Los países están tratando de descubrir el CCNE de sus adversarios y explorar sus herramientas. Naturalmente, en tales casos, es importante no revelar el hecho de que se descubrieron las armas del enemigo para que continuara usándolas, de modo que no pueda eliminar el malware de los sistemas ya infectados.Edward Snowden dice que la NSA no es única en este sentido. La inteligencia de otros países está haciendo exactamente lo mismo.Sabiendo que el adversario está buscando y explorando CCNE, la unidad de hackers de la NSA conocida como TAO ( Office of Tailored Access Operations ) recibió instrucciones de no dejar sus programas binarios en los servidores de CCNE, pero "la gente es perezosa", y algunas veces ocurren pinchazos, dice Snowden.Aparentemente, esto es exactamente lo que sucedió ahora. Edward Snowden dice que los servidores CCNE de la NSA han sido pirateados antes, pero ahora se ha realizado una manifestación pública por primera vez. ¿Por qué el enemigo realizó tal demostración? Nadie lo sabe Pero Edward Snowden sospecha que esta acción de Shadow Brokers es más probable que tenga una explicación diplomática para intensificar el conflicto en torno a la recientepirateo del Comité Nacional Demócrata de EE. UU. , después del cual se publicaron 20,000 correos electrónicos privados de políticos estadounidenses en Wikileaks, que revelan el desagradable interior de los juegos políticos."La evidencia indirecta y el sentido común indican la participación de Rusia", escribe Edward Snowden. "Y es por eso que esto es importante: esta filtración es probablemente una advertencia de que alguien podría probar que Estados Unidos es culpable de cualquier ataque realizado desde este servidor CCNE en particular".“Esto podría tener serias consecuencias para la política exterior. Especialmente si una de estas operaciones fue dirigida contra los aliados de los Estados Unidos. Especialmente si estaba relacionado con las elecciones ".Por lo tanto, según Snowden, las acciones de Shadow Brokers son una especie de ataque preventivo para influir en las acciones del adversario, que ahora está considerando cómo reaccionar ante la piratería del Comité Nacional Demócrata de los Estados Unidos. En particular, alguien advierte a los estadounidenses que la escalada del conflicto será inapropiada aquí, porque tiene todas las cartas de triunfo.Snowden agregó que los escasos datos disponibles indican que un pirata informático desconocido obtuvo acceso a este servidor NSA, pero perdió el acceso en junio de 2013. Probablemente la NSA simplemente dejó de usarlo en ese momento.Algunos expertos también tienden a creer que piratear The Equation Group no es falso. Esto lo demuestra el exploit independiente y comerciante de vulnerabilidades de 0 días The Grugq, un especialista en seguridad independiente, Claudio Guarnieri, que durante mucho tiempo ha analizado las operaciones de piratería realizadas por las agencias de inteligencia occidentales. Dmitry Alperovich (CrowdStrike) está de acuerdo con él. Él cree que los piratas informáticos "se sentaron en esta información durante años, esperando el momento más exitoso para su publicación"."Definitivamente, todo parece real", dijo Bruce Schneier, uno de los conocidos expertos en el campo de la seguridad de la información. "La pregunta es, ¿por qué alguien lo robó en 2013 y publicó esta semana?"Análisis de fuentes publicadasAyer, publicaron expertos de la división GReAT de Kaspersky Lab. Compararon archivos publicados con muestras de malware previamente conocidas que pertenecen a The Equation Group, y encontraron fuertes similitudes entre ellos. En particular, The Equation Group utiliza una implementación específica del cifrado RC5 / RC6, donde la biblioteca de cifrado realiza la operación de sustracción con la constante 0x61C88647 , mientras que en el código RC5 / RC6 de uso común tradicional, se usa otra constante 0x9E3779B9 , es decir, -0x61C88647 . Como la suma es más rápida que la resta en algunos equipos, es más eficiente almacenar la constante en un valor negativo para sumarla, en lugar de restarla.
La comparación encontró cientos de piezas de código similar entre las muestras antiguas y los archivos publicados por Shadow Brokers.
Si Snowden tiene razón y es más probable que las acciones de Shadow Brokers sean "diplomáticas", entonces la "subasta" anunciada con condiciones extrañas es simplemente una farsa. Solo se necesita por el bien de las relaciones públicas, para que la historia se capture en los medios y se difunda lo más ampliamente posible. Duplican todas las referencias a la "subasta" en su twitter . Recuerde, Shadow Brokers prometió dar información al ganador de la subasta, que pagará una cantidad poco realista de 1 millón (!) Bitcoins, es decir, más de medio billón de dólares. Actualmente, han recibido 15 apuestas en su billetera por un total de 1,629 BTC. La oferta máxima es de 1.5 BTC.El repositorio de explotación de The Equation Group se eliminó de Github. La razón no es que el código de malware se publique allí, porque las hazañas gubernamentales del mismo The Hacking Team han estado en Github durante mucho tiempo y no son satisfactorias. Github llama a la razón un intento de sacar provecho de la venta del código robado, lo que contradice los términos del acuerdo de usuario de Github. Los archivos también se eliminan del servicio de medios Tumblr. Sin embargo, las hazañas aún están disponibles a partir de varias otras fuentes:» imán :? Xt = urn: btih: 40a5f1514514fb67943f137f7fde0a7b5e991f76 y tr = http: //diftracker.i2p/announce.php» http://dfiles.ru/files/9z6hk3gp9» https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU» http://95.183.9.51/Archivos libre (Prueba): sin eqgrp-file.tar.xz.gpgsha256sum = b5961eee7cb3eca209b92436ed7bdd74e025bf615b90c408829156d128c7a169gpg --output --decrypt eqgrp-sin-file.tar.xz eqgrp sin file.tar.xz.gpgcontraseña para el archivo : theequationgroupWikiLeaks ha prometido cargar archivos en su propia casa pronto.El servicio de prensa de la NSA declinó hacer comentarios .Source: https://habr.com/ru/post/es396779/
All Articles